Se un utente ha visitato un sito Web malevolo un anno fa, dovremmo nuke dall'orbita per essere sicuri?

Naviga le tue risposte
2

Una scansione antivirus di Microsoft Security Essentials è appena terminata su uno dei nostri computer e mostra due potenziali minacce nei file temporanei di Internet Explorer:

  1. Pagina Web con kit di exploit Black Hole
  2. File PDF appositamente predisposto (parte di Black Hole Exploit Kit)

I due articoli sono stati scaricati nella stessa data circa un anno fa, quindi penso che sia sicuro presumere che un utente abbia visitato un sito dannoso (elemento n. 1) che ha scaricato il PDF (elemento n. 2). L'account utente è un account non amministrativo non privilegiato.

Secondo Microsoft, il PDF intendeva sfruttare un bug in una vecchia versione di Adobe Reader che era stato risolto molto tempo prima che il PDF venisse scaricato. Manteniamo il nostro software aggiornato, quindi sembra che questo exploit abbia fallito. La scansione antivirus non ha rilevato altri problemi.

La mia preoccupazione principale è che il sito dannoso ha provato a utilizzare diversi exploit e Security Essentials non li ha rilevati tutti. Dovrei nuke dall'orbita nel caso in cui, o fidarmi dell'antivirus e lasciare che solo eliminare i file?

    
posta Phil 19.06.2013 - 21:22
fonte

2 risposte

6

Quello che hai lì è la prova di un tentativo di infezione, non un'infezione riuscita. Non è raro avere questi tipi di file nella cartella Internet Temp se non sono stati bloccati dalla protezione da malware.

Tuttavia, hai bisogno di più prove del fatto che la macchina sia pulita prima di prendere in considerazione di NON nuotare dall'orbita. È possibile eseguire la scansione da un LiveCD (o una scansione all'avvio) o provare che il tentativo è stato bloccato.

Se non sei sicuro o non riesci a confermare che l'infezione non si è verificata, devi re-immagine. Hai una rapida strategia di re-imaging, giusto ??

La mia altra preoccupazione è che questi file non sono stati visti fino ad ora, il che solleva più domande per le quali è probabile che le risposte siano comunque reimage.

Una nota a margine sull'antivirus: "fidati, ma conferma". La mia regola generale è che l'AV blocca l'80% delle possibili minacce. Confermo macchine pulite invece di fidarmi di un 'antisporco'.

    
risposta data 19.06.2013 - 21:42
fonte
0

Per sicurezza, eseguivo una scansione all'avvio con euristica impostata al massimo. Microsoft Security Essentials è un buon Anti-Virus ma funziona un po 'di luce e lo abbino sempre a qualcosa di più pesante almeno una volta al mese, come Avast !. La scansione del tempo di avvio passerà attraverso il disco rigido senza nessuno dei driver acceso, che è il luogo in cui alcuni virus / trojan / worm vere e proprie tendono a nascondersi, quindi i programmi Anit-Virus "nel sistema operativo" non eseguiranno la scansione. Questo metodo di scansione ha salvato molte macchine nel mio tempo in IT. Andando avanti, raccomanderei vivamente lo sviluppo di un programma di backup solido e di routine. Come dice il vecchio proverbio, salva e salva spesso. Esistono alcune buone soluzioni di backup di terze parti, come Acronis, con cui è possibile creare e recuperare immagini in pochi minuti. Spero che questo aiuti e buona fortuna.

    
risposta data 19.06.2013 - 21:33
fonte

Leggi altre domande sui tag

Come si collegano le immagini vincolanti con patch dannose? È possibile proteggere l'e-mail aziendale sui telefoni personali senza la possibilità di cancellare tutti i dati personali?